Palo Alto Networks最新披露：酷派Android設備設有後門程式

台北2014年12月18日電 /美通社/ — 企業安全領域領導者 Palo Alto Networks®（紐約證券交易所：PANW）今天披露全球最大的智慧型手機製造商之一中國酷派集團(Coolpad)所出售的數以百萬計的 Android 行動設備中的後門程式(Backdoor)的細節。該後門程式名為「CoolReaper」，可使使用者暴露於潛在的惡意活動之中。似乎酷派儘管受到用戶 的反對，仍安裝並維護該後門程式。

在一般情況下，行動設備製造商在 Google Android 行動作業系統上安裝額外的軟體可以為 Android 設備提供更多的功能和客制化服務，同時一些行動服務商也會安裝應用程式以搜集設備性能的數據。Palo Alto Networks 威脅情報團隊 Unit 42 對 CoolReaper 進行了詳細分析，認為 CoolReaper 除了搜集基本使用數據之外，似乎也進行其他運作，是一個真正植入酷派設備中的後門程式。此外，酷派似乎已對 Android 作業系統版本進行了修改以阻止防毒程式檢測到此後門程式。

Palo Alto Networks 研究員 Claud Xiao 在酷派出售的24款手機中發現了 CoolReaper，這意味著根據可獲得的酷派公開銷售資訊，可能超過1千萬用戶受到影響。

引用：
「我們期望 Android 製造商在設備上預先安裝軟體以提供所需功能並保持他們的應用程式及時更新。但是本報告中披露的 CoolReaper 後門程式細節則遠遠超出了用戶可能的預期，使酷派可以完全控制受影響的設備，隱藏該軟體不被防毒程式發現，同時使使用者置於惡意攻擊中。我們強烈建議可能 受到 CoolReaper 影響的數百萬酷派使用者檢測他們的設備是否存在後門程式，並採取措施保護他們的資料安全。」

— Palo Alto Networks Unit 42 情報總監 Ryan Olson

CoolReaper 的背景資訊及其影響

CoolReaper 相關完整的調查結果已刊登在今日出版的《CoolReaper：酷派後門程式》的報告中，該報告由 Palo Alto Networks 威脅情報團隊 Unit 42 的 Claud Xiao 和 Ryan Olson 撰寫。在該報告中，Palo Alto Networks 還公佈了一份文體列表以核對那些有可能存在 CoolReaper 後門程式的酷派設備。

正如研究人員所發現，CoolReaper 可以執行下列任務，其中的任何一項都有可能使用戶和企業的敏感性資料面臨風險。此外， 惡意攻擊者也有可能利用 CoolReaper 後端控制系統中的漏洞。

CoolReaper 可執行下列工作：

• 未經使用者同意或通知使用者，下載、安裝或啟動任何 Android 應用程式
• 清除使用者資料，卸載現有應用程式或使系統應用程式失效
• 通知使用者不實的設備更新資訊，以安裝不需要的應用程式
• 隨意向手機發送或插入簡訊或多媒體訊息
• 撥打任意電話號碼
• 上傳設備資訊、位置、應用程式的使用資訊、通話和短訊記錄到酷派伺服器

酷派確認情況

Unit 42威脅情報團隊開始關注 CoolReaper 後門程式，源於網路留言版上張貼的酷派客戶投訴資訊。11月份，烏雲網 (wooyun.org) 的一位研究人員發現用於 CoolReaper 的後端控制系統中存在漏洞，從而確認了酷派自身如何在軟體中控制後門程式。此外，中文新聞網站安全牛(www.aqniu.com)曾在2014年11月20日的一篇文章裡對該後門程式存在的具體細節作出報導，並指出其濫用情況。

截止2014年12月17日，酷派並未對 Palo Alto Networks 多次提出的協助請求予以回覆。Palo Alto Networks 已向 Google Android 安全小組 (Google Android Security Team) 提供了本報告中的資料。

保護用戶

CoolReaper 已被 Palo Alto Networks 威脅情報雲的重要元件 WildFire™ 標記為惡意程式。Palo Alto 威脅情報雲可在虛擬環境中運行，能夠從應用程式中識別受此威脅的設備並自動將其傳送至 Palo Alto Networks GlobalProtect。

此外，在 Palo Alto Networks 威脅防護產品中，所有已知的被 CoolReaper 使用過的命令和控制(Command &Control) URL 都被認定為惡意，允許用戶即使在命令和控制伺服器或 URL 變更的情況下，防止資料滲漏。

同時，Palo Alto Networks 還提供了特徵碼，可對惡意的 CoolReaper 命令和控制流量進行偵測和攔截，即使命令和控制伺服器改變位置該功能仍然有效。

CoolReaper 後門程式的發現，進一步強化了對全面行動安全方案的需求，它將流量檢測與威脅情報相結合，用於檢測並防範危險應用程式。Palo Alto Networks 的 GlobalProtect 技術能夠保護組織機構遠離進階網路威脅，包括能夠持續分析行動內容發現其中隱藏或惡意的活動。

欲了解更多資訊：

• 下載 CoolReaper 報告：酷派後門程式 https://www.paloaltonetworks.com/resources/research/cool-reaper.html
• 欲了解 Unit42 研究中心之有關嶄新研究、更新及演講，請瀏覽：https://www.paloaltonetworks.com/threat-research.html
• 訂閱定期研究及分析報告，請瀏覽 Unit 42 部落格：http://researchcenter.paloaltonetworks.com/unit42/
• 欲了解 Palo Alto Networks 企業安全平台以及其如何防禦 CoolReaper，請瀏覽：  https://www.paloaltonetworks.com/products/platforms.html。
• 登記 Palo Alto Networks 於2015年3月30日至4月1日舉行之 Ignite 2015，與 Unit 42 團隊見面共同應對你的資訊安全挑戰。

關於 Unit 42

Unit 42是 Palo Alto Networks 的威脅情報團隊，它由高級網路安全研究員與業界專家組成。Unit 42收集、研究並分析最新威脅情報，與 Palo Alto Networks 客戶、合作夥伴及更廣泛的社群分享其見解，致力更好地保護組織機構。Unit 42團隊定期參加全球各領域的資安大會。

關於 PALO ALTO NETWORKS

Palo Alto Networks 正在引領網路安全的新時代，可保護眾多的企業、政府機構和服務供應商網路免受網路威脅。與分散的傳統產品不同，我們的安全平台可確保企業安全營運，並根據 當今動態運算環境中最重要的元素提供相對應的保護：應用程式、使用者和內容。瀏覽 www.paloaltonetworks.com 瞭解更多資訊。